Cyberkriminelle haben einen neuen Weg gefunden, um Malware in Office-Dokumenten zu verstecken. Wie Nviso Labs jüngst herausfand, wurden Excel-kompatible Dateien mit bösartigen VBA-Scripts unter der Verwendung von Drittanbieter-Programmen erstellt. Dadurch blieben sie von einigen Antivirenprogrammen unentdeckt.

Signaturbasierte Antivirenprogramme lassen sich täuschen

Herkömmliche Antivirenlösungen suchen nach den typischen Signaturen einer Malware, um sie zu identifizieren. Diese Checks benötigen zwar wenig Rechner-Ressourcen und liefern schnelle Ergebnisse. Sie sind dabei aber nicht immer zuverlässig: Wird eine Malware so verändert, dass sie bekannten Signaturen nicht mehr entspricht, bleibt sie so lange unentdeckt, bis aktualisierte Versionen vorhanden sind. Dabei besteht auch die Gefahr, dass es zu Fehlalarmen kommt. In diesen Fällen wird der Zugriff auf eigentlich ungefährliche Dateien und Programme unterbunden. Solche „False Positives“ müssen nach Möglichkeit vermieden werden – eine permanente Gratwanderung für signaturbasierte Antivirenlösungen. Diesen Umstand machten sich die Cyberkriminellen zunutze: Über Nicht-Microsoft-Programme wurde Malware in das Dokument eingebracht und dadurch die Signatur so stark verändert, dass viele Antivirenprogramme davon getäuscht wurden.

Aller Wahrscheinlichkeit nach kam dafür – und kommt immer noch – die Software EPPlus zum Einsatz. Dabei handelt es sich um eine .NET-Bibliothek, die Excel 2007/2010/2013-Dateien im Open Office-XML-Format (xlsx) lesen und schreiben kann. Zwar sind die Möglichkeiten von EPPlus im Vergleich zu Microsoft Office eingeschränkt, aber damit lassen sich immerhin Makros für den Download und die Ausführung von Malware-Payloads erstellen. Die ersten Angriffe wurden im Juni registriert und steigerten sich seitdem. Von den Forschern wurden mehrere Ziele identifiziert, darunter in englisch, spanisch, chinesisch und türkisch sprachigen Ländern.

Schutz gegen fortschrittliche Malware

Der Fall zeigt ganz klar auf, dass ein rein signaturbasierter Virenschutz mittlerweile nicht mehr ausreicht. Die immer fortschrittlicheren Malware-Varianten lassen sich mit traditionellen Methoden nicht wirksam bekämpfen. Zur Abwehr notwendig sind fortgeschrittene Anti-Malware-Dienste mit KI (künstlicher Intelligenz). Die Panda Adaptive Defense 360 Sicherheitssuite bietet in diesem Bereich einen 100 % Attestation Service – 99,98 Prozent durch maschinelles Lernen und 0,02 Prozent durch die Malware-Experten von Panda, die mit den forensischen Analysen betraut sind. In dem Zusammenhang noch ein genereller Hinweis: Office-Makros aus unbekannten Quellen sollten niemals ausgeführt werden. Für den Fall der Fälle existiert darüber hinaus effizienter Schutz: Indem Adaptive Defense 360 die Ausführung von unbekannten ausführbaren („executables“) Dateien blockiert, wird der Start eines Malware-Payloads zuverlässig verhindert.